情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2019」によると、“組織ランキング”にサプライチェーンに関する脅威が初ランクインした。「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもの。IPAが脅威候補を選出し、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定した。
それによると、組織ランキングでは、1位「標的型攻撃による被害」、2位「ビジネスメール詐欺による被害」、3位「ランサムウェアによる被害」、4位「サプライチェーンの弱点を悪用した攻撃の高まり」、5位「内部不正による情報漏洩」。個人ランキングでは、1位「クレジットカード情報の不正利用」、2位「フィッシングによる個人情報等の詐取」、3位「不正アプリによるスマートフォン利用者の被害」となった。
新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を悪用した攻撃の高まり」(組織4位)だった。また、本年の個人ランキングでは“だましによる手口”が顕著となっている。1位~4位、6位(「偽警告によるインターネット詐欺」)、7位(「インターネットバンキングの不正利用」)はいずれも、利用者をだまして金銭や情報を詐取する手口だ。
一方、組織の4位に新規にランクインした「サプライチェーン」とは、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、及びこの商流に関わる複数の組織群を指す。攻撃者はサプライチェーン内のセキュリティ対策が不十分な組織、箇所を攻撃の糸口に侵入。そして、最終目的である標的への攻撃を試みることが指摘されている。その手口は多様で、脆弱と考えられる子会社や委託先を突破口にし、親会社や委託元を狙う。
その結果、製品やサービス、そしてその利用者である顧客にも被害が及ぶことがある。IPAが2017年11月に公開した「サイバーセキュリティ経営ガイドライン」のVer. 2.0では、新たに「サプライチェーンセキュリティ対策の推進」の項目が加えられている。今や企業経営においては、サプライチェーン全体でセキュリティ対策を実施することが求められている。
この件は↓